拆算法·解规则·炼实战|AI技术本体 + AI本体的温度
你每天都会看到它,却永远不会多看一眼。一行日期。

一句“Today's date is 2026-06-30.”。系统提示词里最不起眼的那行字,被你的AI编程助手悄悄改了两个符号——横杠变斜杠,撇号换成了另一个长得一模一样的Unicode字符。
人眼看不出任何区别。但服务器读懂了。你的时区、你的代理、你所在的企业是否在147条清单上——全部被压缩进这行日期里,无声无息地传了回去。
这不是阴谋论。这是2026年7月被逆向工程曝光的真实事件。
从2026年4月2日的v2.1.91版本开始,Anthropic在Claude Code中植入了一套静默身份标记机制,潜伏近三个月。一名ID为LegitMichel777的海外网民在Reddit上率先爆料,直指客户端暗藏针对特定地区用户的监视代码。
2026年7月8日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布风险提示,将其定性为“安全后门隐患”,危害严重。阿里在内部全面禁用,将其列入高风险软件名单。
这不是一篇安全报告。这是AI本体对“信任”二字的一次深度拆解。
你见过藏头诗吗?
古人在诗里藏过信息。每句取第一个字,连起来是一句密语。不知情的人读到的是一首诗,知情的人读到的是一道密令。藏头诗是人类最早的“文本隐写术”——把秘密信息藏在看起来完全正常的文字里,只有知道规则的人才能提取。
而Claude Code这套机制,本质上就是一行看起来完全正常的系统提示词的“藏头诗”。只是它的“藏头”,藏的不是字首,是字符的Unicode编码。
日期分隔符从“-”换成“/”,人眼看起来差不多,但机器读到的编码变了。Today‘s里的撇号,从标准ASCII码U+0027,悄悄换成U+2019、U+02BC或U+02B9——四种视觉几乎完全相同的Unicode字符,对应四种不同的用户身份标签。两处修改,编码了2个比特的用户信息。
技术原理是一样的,载体不一样。藏头诗藏在“字的顺序”里,隐写术藏在“字符的编码”里。人眼看不见,只有机器能读到。
拆开“暗桩”的完整链路
触发条件:只针对非官方渠道用户
只有当用户配置了ANTHROPIC_BASE_URL环境变量,使用第三方API中转、自建代理等非官方入口时,整套识别程序才会启动。
双维度锁定:时区+147条域名黑名单
客户端在后台读取本地环境信息,全程无任何界面提示:
时区检测:读取系统时区,精准匹配Asia/Shanghai、Asia/Urumqi两个中国标准时区——IP代理伪装在这个维度上完全失效。
域名黑名单:提取代理URL的域名,与内置的147条清单匹配。清单覆盖了阿里、字节、百度、腾讯等国内头部科技企业,以及DeepSeek、智谱、月之暗面等所有主流AI厂商的域名。
两个肉眼不可见的“指纹位”
检测完成后,客户端把识别结果编码进每次请求必带的系统提示词中:
Today's date is 2026-06-30.
通过两处修改,实现2个比特的用户分类编码:
- → 斜杠/ | ||
Today‘s |
两处修改组合后,服务端只需解析这行日期文本的字符编码,就能精准判定“这个请求来自中国、使用了哪家代理、是否为AI竞品公司”。全程不新增任何网络请求,完全寄生在正常业务报文里,常规防火墙、流量审计完全无法识别。
受影响版本覆盖Claude Code 2.1.91至2.1.196。
官方定性:工信部NVDB明确为安全后门”
2026年7月8日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布《关于防范AI编程工具Claude Code安全后门隐患的风险提示》。
公告明确指出:Claude Code“内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息,受影响的Claude Code为2.1.91至2.1.196版本”。
NVDB建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。
同时,Anthropic技术团队成员已公开承认该机制存在,称其是2026年3月上线的一项“实验性”反滥用措施,并表示将在后续版本中移除。
AI本体视角:当“法天”走向极端
AI本体一直在说三件事:法天、相地、对齐。
法天,是掌握规律。Claude Code把“法天”推到了极致——时区检测、147条域名清单、四种Unicode字符编码。它精准掌握了用户画像的每一个维度。
但相地,是知道什么时候不该做。技术可以做到,不代表应该做。用隐写术标记用户,不告知、不弹窗、不申请权限——团队称之为“实验性”措施,但它运行在拥有系统级权限的生产工具中,对毫不知情的用户实施了三个月的数据采集。
对齐,是在法天与相地之间找到平衡。正常风控无需采用混淆加密、隐写术、未告知用户等隐蔽手段。技术能力越强,“相地”的边界就越重要。能力不是用来突破信任边界的,能力是用来守住信任边界的。
写在最后
一行日期文本,编码了一个系统的信任边界——也编码了一家公司对“我们该不该”这个问题的完整回答。
隐写术不是新东西。几百年前希腊人把消息刻在木头上用蜡遮盖,罗马人用隐形墨水传递密报。明代文人写藏头诗传递密令。今天,它只是换了一副面孔——藏在Unicode字符的编码缝隙里,藏在一行你永远不会多看一眼的日期文本里。
工信部NVDB的定性,把这件事从“技术争议”推到了“安全红线”的位置。
技术可以做到,不代表应该做。“法天”的能力越强,“相地”的标准就应该越高。
你用的每一个AI工具,都在给你上一课。有的教你怎么写代码,有的教你怎么识别信任。
📦 文末福利:想亲眼看看“一行日期如何藏身份”?
关注本公众号,后台回复「隐写术」,一键获取所有GitHub链接 + 快速上手指南。
仅供研究学习使用。
AI本体,拆算法·解规则·炼实战|AI技术本体 + AI本体的温度。见本知著,对齐没有终点。
夜雨聆风